Blog - Jornadas Ejecutivas

Usar puntuación: / 10
MaloBueno 

Es la cuarta actividad de la serie prevista por CXO Community. El objetivo ha sido la profundización del conocimiento acerca de los riesgos, la aplicación de estándares y la evolución de la prevención, esenciales para el marco de seguridad en la industria financiera.  Contó con la participación de más de 140 profesionales especializados en tecnología y en seguridad de la información.

Buenos Aires, 8 de Junio de 2010 - Organizada por CXO Community, Dixit Comunicación de Negocios, y con el apoyo de la Universidad del CEMA, se realizó la III Jornada de Seguridad de la Información en la Industria Financiera.

Como cuarto encuentro del 2010 se inició la serie temática especializada en Seguridad de la Información. Se dio tratamiento a los aspectos de actualidad: la implementación de un SGSI, las nuevas tecnologías para la navegación segura, el cumplimiento de los requisitos del estándar PCI-DSS, la seguridad perimetral y la prevención ante las técnicas de ataques externos e internos.

El encuentro fue auspiciado por las empresas Global Crossing, Microsoft, Checkpoint, Lightech y Licencias On Line; y por las entidades financieras Standard Bank Argentina y Santander Río.

Las entidades financieras que convocaron al encuentro han sido: CPCI, CPCIBA, Nuevos Bancos y Seguros, ISSA, ISACA, Identidad Robada, Derecho Informático, Segu-Info, Segu-Kids y Templarios de la Seguridad.

La apertura fue realizada por Jorge Linskens, Director Ejecutivo de la Agencia de Sistemas de la Información (ASI), Gobierno de la Ciudad, (http://www.buenosaires.gov.ar/) destacando los aspectos principales de la jornada, como también, compartiendo con la audiencia su experiencia; en base a esta mencionó la evaluación de cambio en la autenticación en el sitio AFIP enfatizando que pensando que el problema estaba en la autenticación se detectó que se tenía en la registración debiendo reforzar este mecanismo (se habían detectado 1 o 2 repudios) y no el propio de la autenticación. Asimismo se había evaluado implementar tokens y era imposible adquirir 7.000.000 de tokens o en su defecto imponer al usuario que lo adquiriera cuando ingresar al sitio de AFIP es mayoritariamente obligatorio y no cuando uno así lo desea.

La primera presentación fue realizada por Maximiliano Canosa, Director Ejecutivo en I-Prot S.A., (http://www.i-prot.com/) y Marcelo Estol, CISO en la Caja de Ahorro y Seguros, (http://www.lacaja.com.ar/) abordando la ponencia “El cambio por un sistema de gestión”.

La exposición se focalizó en la implementación de un SGSI mediante la implementación y certificación del estándar ISO 27001:2005. M. Canosa brindó su visión desde la óptica del consultor exponiendo los aspectos relevantes del estándar y lo concerniente a las etapas y tiempos a fin de implementar y certificar a una organización. Enfatizó que previo implementar es preciso conocernos a nosotros mismos siendo el gran problema lo que desconocemos. ¿Cómo tiene que ser nuestra gestión? ¿Cuánto de la gestión estoy cumpliendo? ¿Cuánto me falta para lograrlo? Los tiempos de la implementación dependen de cada empresa y se estima que la certificación se logra en un lapso de 3 años. Concluyendo su presentación expuso brevemente las etapas de: Definición de alcance y objetivos, Evaluación de riesgos, Tratamiento de riesgos, Implementación del Plan de tratamiento de riesgos y Monitoreo y revisión del SGSI. A continuación, M. Estol brindó a la audiencia y pares su experiencia como CISO en este proyecto. Realizó una breve reseña de la compañía La Caja fundada en 1915 y contando con canales directos como indirectos (VPN, Web services, Mobile services, etc.). Luego detalló las distintas fases del proyecto destacando la formación del Comité de Seguridad, la conformación del área de Seguridad Informática y la selección de la metodología de riesgos Magerit. Finalizando, Marcelo expuso que BSI fue el organismo encargado de otorgar la certificación siendo las etapas de la misma: 1. Pre-Auditoria (2 días), 2. Auditoria Fase I (1 día), 3. Auditoria Fase II (2 días) y 4. Recomendación para la Certificación ISO 27001.

--- La presentación completa puede ser obtenida desde este link (1)

A continuación, Alejandro Ponicke, Asesor de Comunidades Técnicas en Microsoft Argentina y Uruguay, (http://www.microsoft.com/) expuso la presentación “Seguridad Corporativa en la Navegación de Internet”.

Alejandro realizó una presentación amena y divertida, sin por ello, dejar de demostrar a la audiencia que uno ya sabe que la Web no es un camino de rosas y que lentamente fueron decantando en nuestras cabezas los riesgos y peligros de andar por la vida virtual sin saber por donde va a saltar la liebre. Trató, entre otros temas, las configuraciones de los browsers desde las versiones anteriores a la actual Internet Explorer 8.0. Demostró algunas configuraciones dentro de las posibilidades que el navegador ofrece actualmente pero que muchas veces el usuario no realiza por falta de capacitación o conocimiento. Las preocupaciones principales de los usuarios en este contexto son: protección contra intrusos, protección frente a daños, control de datos y privacidad y sobre las preocupaciones en los negocios: gobierno de los datos e información corporativa (considerando internos y publicados a través de redes bajo Internet), interrupción del negocio y productividad; e impacto en la marca en relación a la confianza de los clientes. A continuación se destacan fragmentos expuestos durante la ponencia de Alejandro: El problema a veces radica en no solo saber que las amenazas existen sino en también tener las herramientas precisas para lidiar con ellas. Muchos usamos Internet Explorer para navegar la Web, de hecho más del 60% de los internautas lo usa. La idea es que el navegante pueda rápidamente detectar cuál es el dominio real al cual está accediendo y no caer en la trampa de IPS o pseudo dominios que redireccionan a sitios. ¿Cuál es el objetivo de entender estos temas? Que el usuario tiene que tener formas de detectar si potencialmente puede ser engañado o no. Insólitamente, una persona tiene un método para detectar si el billete que le están dando es verdadero o no. Pero muy probablemente esa misma persona no tenga mucha forma de tener el mismo criterio al intentar detectar si está visitando la fotocopia de su home banking. Internet Explorer puso mucho foco en estas medidas de seguridad. En relación a los certificados, Alejandro destacó que “No todo es eterno en la vida y lo que hoy es seguro, mañana puede no serlo”. Si la clave privada de un certificado por alguna razón es comprometida, este debe ser dado de baja y listado en la CLR de la autoridad certificante que lo emitió. Pero con eso no basta, nuestro explorador debe ser capaz de enterarse de esa novedad. Es ahí donde Group Policies viene otra vez en nuestra ayuda. Dentro de la increíble cantidad de políticas dedicadas a Internet Explorer puede encontrarse alguna como esta siendo la que permite mantener bajo control los certificados de los sitios visitados. Para concluir, Alejandro expuso los primeros pasos de la Web 3.0, donde el explorador conoce mis hábitos o mis caminos en información tomados y adapta las presentaciones del Explorer de acuerdo a ello y en este caso citó el ejemplo de Amazon, y de la opción de InPrivate del Explorer 8.0.

--- La presentación completa puede ser obtenida desde este link (1)

Posteriormente, Carina Strobietto, Country Manager, Southern Latin America en Check Point Software Technologies, (http://www.checkpoint.com/) y Diego Gantus, Product Specialist en Tecsystem, (http://www.tecsystem.com.ar/) desarrollaron el bloque “De la Seguridad Perimetral a la Seguridad Interna”.

Carina dio inicio a la ponencia detallando la historia de la innovación en Checkpoint desde 1993  a nuestros días destacando los siguientes logros por periodo: 2007 – Definición de 3 dominios, 2008 – Soluciones de Total Security, 2009 – Software Blades y 2010 – Seguridad, más, mejor y simple. Luego, dio paso a Diego a fin de abordar el caso de éxito: “Proyecto de Seguridad TI (IPS, Firewall & SSL VPN)” en la entidad financiera Banco Ciudad. Diego detalló el proyecto inicial de seguridad de 2002 cuyo objetivo era implantar un sistema integral de seguridad perimetral de alta disponibilidad donde los requerimientos eran la protección de la conexión corporativa e Internet y la protección de las conexiones IP contra terceros. Continuando, presentó que habiendo logrado con éxito el proyecto mencionado, en 2008/2009 se inició otro proyecto: “De la seguridad perimetral a la seguridad interna”. El objetivo fue ampliar, actualizar y rediseñar el sistema de seguridad perimetral de alta disponibilidad, incorporar sistemas de prevención de intrusos y lograr una solución integra; brindando los detalles correspondientes. Para concluir, Diego sintetizó el logro obtenido por el Banco Ciudad y era tener bajo una misma solución el control del tráfico, la detección y prevención de intrusiones, la encripción, el ruteo dinámico y el acceso remoto bajo un marco de gestión unificado. Posteriormente y para cerrar la presentación, Carina abordó la nueva presentación de firewalls, los problemas de las aplicaciones de Internet, el control de datos (DLP), las nuevas necesidades de los clientes y las razones de una seguridad más (marco expandible), mejor (de la detección a la prevención) y simple (soluciones consolidadas).

--- La presentación completa puede ser obtenida desde este link (1)

Habiendo abordado los recaudos y amenazas en la navegación por Internet y las herramientas disponibles para contar con una seguridad perimetral e interna plasmada en una solución integral, era necesario retomar la temática del primer bloque y tomar conocimiento del estándar PCI-DSS, por tal motivo, Sergio Bollini, Director de Tecnología en Lightech, (http://www.lightech.biz/), desarrolló el cuarto segmento titulado “PCI-DSS Compliance – Conformidad mediante revisión de código y firewall de aplicación”.

La ponencia se inició con el objetivo del estándar PCI-DSS “para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y para facilitar la adopción de medidas de seguridad consistentes a nivel mundial”. Es de cumplimiento obligatorio para todos los comerciantes online y fue establecido en 2004 por las principales compañías de tarjetas de crédito. De los 12 requisitos que componen el estándar, Sergio basó su presentación en: Req. 3 - “Proteja los datos del titular de la tarjeta que fueron almacenados”, Req. 6 - “Desarrolle y mantenga sistemas y aplicaciones seguras” y Req. 11 - “Pruebe con regularidad los sistemas y procesos de seguridad”. Sergio expuso cada uno de los requisitos mencionados concluyendo que el enfoque tradicional no es suficiente, para ello citó que: “el 64% de los 10 millones de incidentes de seguridad analizados llegaron por el puerto 80” (Information Week) y “Más del 75% de los ataques ocurren al nivel de aplicación (browsers y aplicaciones propietarias)” (Gartner Group). Posteriormente y en base a lo expuesto, Sergio recalcó que para el ciclo de desarrollo de software es preciso contar con el análisis dinámico y estático, donde el primero permite la detección de vulnerabilidades en tiempo de ejecución y la detección de todos los puntos de acceso a la aplicación y el segundo logra la detección temprana del origen exacto de una vulnerabilidad, la explicación y sugerencias de corrección, e integrable al IDE. Finalizando, se brindaron las conclusiones correspondientes, entre ellas; 1. Cumplimiento del requisito 6.6. “En el caso de aplicaciones Webs públicas, trate las nuevas amenazas y vulnerabilidades continuamente y asegúrese de que estas aplicaciones  se protejan contra ataques conocidos”, 2. Seguridad positiva y negativa, 3. Ciclo de Software seguro (análisis estático y dinámico), entre otros.

--- La presentación completa puede ser obtenida desde este link (1)

Gabriel Marcos, Datacenter, Security & Outsourcing Product Manager en Global Crossing, (http://www.globalcrossing.com/) centralizó su ponencia “Buenas Prácticas en Seguridad de la Información (… y algunas no tan buenas también!) desde las visiones de gobierno, recursos humanos y tecnología.

Gabriel inició la presentación expresando que las buenas prácticas son “recetas probadas y aprobadas” por muchas organizaciones en todo el mundo, se forman a través de consensos y se aplican dentro de un marco de referencia; políticas, objetivos y métricas. Existen muchas categorías para organizar buenas prácticas; por tecnología, por área de aplicación, por  servicio, etc. Luego, hizo un breve resumen del programa de gestión de la seguridad SGSI donde destacó que la clave es definir los principios. A continuación, se detuvo en el ánimo de la ponencia y citó las buenas y malas prácticas por cada una de las visiones ya enunciadas. Gobierno: las buenas prácticas son alineamiento estratégico, entrega de valor al negocio, gestión del riesgo, entre otras; y las malas prácticas son la alta dirección no comprende la importancia de SI, las políticas de seguridad se implementan solamente por cumplir incluso sin “customizar” para la organización, el departamento de TI no participa de la gestión de la seguridad (“no es nuestra responsabilidad”), etc. Recursos Humanos: existen distintos tipos de roles; los invasores deliberadamente realizan actos para aprovechar vulnerabilidades y explotarlas, los facilitadores crean las condiciones para la explotación de vulnerabilidades (intencionalmente o no) y las victimas por negligencia no toman las medidas de protección adecuadas para proteger su información. La mejor buena práctica: motivar + comunicar y las malas prácticas son falta de incentivos, passwords diferentes para cada cuenta, plan de capacitación solamente para las áreas de TI (¡cuando existe!), etc. Tecnología: entre las buenas prácticas pueden citarse las recomendaciones de infraestructura / topología y para los administradores y entre las malas prácticas encontramos seguridad lógica… sin seguridad física, usar mecanismos de encripción débiles, agregar medidas que (previamente) se saben ineficaces solo “por cumplir”, falta de  actualizaciones, entre otras. Concluyendo la ponencia, Gabriel detalló las 10 razones para certificarse en seguridad.

--- La presentación completa puede ser obtenida desde este link (1)

A continuación la sexta y última presentación “Back to the Basis Client Side Attacks” estuvo a cargo de Ezequiel Sallis, Director de Investigación y Desarrollo en Root-Secure, (http://www.root-secure.com/).

Ezequiel brindó una presentación teórico-práctico muy interesante. Inició la ponencia exponiendo la evolución predecible de los ataques externos. A medida que los controles de seguridad asociados a determinadas tecnologías van madurando, los atacantes dirigen su mirada hacia aquellos que aún no son lo suficientemente efectivos. La evolución de los ataques externos a través del tiempo, indica que los atacantes explotaban debilidades por lo menos en dos niveles bien definidos: nivel de infraestructura y nivel de aplicación. Todo indica que el actual objetivo de los ataques, no apunta únicamente a vulnerabilidades de infraestructura o aplicación, sino que suman al que siempre conocimos como el eslabón más débil de la cadena de la seguridad. La explotación del usuario final y la interacción regular de este con aplicativos vulnerables de uso diario y muchas veces olvidados, es la que hoy podría permitirle a un atacante, acceder a los sistemas de información de su empresa desde el exterior. Ante lo expuesto, Ezequiel reforzó lo siguiente: “debemos prestar atención a un nuevo nivel de ataque, nivel cliente”. Luego y en relación a las explotaciones de vulnerabilidades del lado del cliente (Client Side Exploit) y específicamente con programas que el usuario utiliza diariamente, tales como; navegador de Internet, suite de Ofimática, visor de archivos PDF, clientes de reproducción multimedia, entre otros, concluyó la presentación con 3 casos prácticos Client Side Explot vía EXE (un binario), vía PDF y vía MS Word. Por ejemplo, en el caso de recibir un archivo PDF debemos ante todo abrirlo y al momento de abrirlo se solicita inmediatamente salvarlo cuando no es la respuesta que recibimos al abrir un file de este tipo, comúnmente el usuario de manera automática y carente de la capacitación adecuada, contesta afirmativamente y continua con la acción infectando de esta manera su máquina y por consiguiente la red que integra.

--- La presentación completa puede ser obtenida desde este link (1)

Culminando la jornada era el tiempo exacto para que los Responsables de Seguridad de la Información expusieran sus opiniones e intercambiaran sus experiencias en función de las temáticas expuestas y preguntas realizadas. Claudia Diego, Director Editorial de CXO Community, fue el moderador del Panel: La agenda del CSO – Panel de los Expertos, integrado por los siguientes profesionales:

Mara Misto Macias, Gerente Principal de Seguridad de la Información, Banco Central de la Republica de Argentina.
Enrique Rubinstein, Gerente de Seguridad de la Información, Banco Standard Bank Argentina.
Héctor D’Agostino, Vicepresidente de la Asociación Civil Conduciendo a Conciencia, Ex C.F.O. en ING Bank Argentina y ex Director de Administración en Banco Supervielle S.A.
Ezequiel Sallis, Director de Investigación y Desarrollo, Root-Secure.

La experiencia transmitida por cada uno de los expertos se plasmó en las respuestas brindadas ante las siguientes preguntas: 

¿Cómo es encarada la clasificación de la información y el análisis de riesgos?
Desde la visión del negocio, ¿Cómo se logra la planificación exitosa de un proyecto?
¿Cómo influye el diagnóstico de la situación?
¿Cuál es la metodología a recomendar previo encarar un proyecto de IDM? ¿Qué se busca mediante la solución de IDM? En torno a IDM, ¿Cuáles son los pros y contras?
¿Cómo se solicita una solución o proyecto de seguridad? ¿La solicitud del cliente es clara? El cliente, ¿Entiende realmente lo que está solicitando?

Para mayor información:

• Agenda de la jornada.
• Galería de imágenes.
• Seguridad de la Informacion en la Industria Financiera (1era jornada 2008).
• Seguridad de la Informacion en la Industria Financiera (2da jornada 2009).

(1) Para poder realizar la descarga de las presentaciones (archivos PDF) podrá acceder a la sección “Documentos” donde se encuentran cada uno de los contenidos indicados, previo inicio de sesión en el sitio.

CXO Community, http://www.cxo-community.com/, info(at)cxo-community.com
DIXIT Comunicaciones, http://www.dixitcomunicaciones.com.ar/ , info(at)dixitcomunicaciones.com.ar

Comentarios  

 

+1 #2 rlucero 09-08-2010 10:57

Hola, primero quiero expresarle a CLaudia Diego mi gratitud por invitarme como asistente al evento. La empresa donde trabajo ha asumido el compromiso de certificar la ISO 27001 en un tiempo no muy prolongado, y como primera medida, hemos establecido un SGSI. Pero como el desarrollo del SGSI es nuevo para nosotros, el asistir a esta Jornada, en la cual se trato este tema, nos despejo muchas dudas sobre como armarlo y mantenerlo. Quiero contarles, como experiencia, que el establecimiento de un SGSI debe venir acompañado de un cambio cultural de trabajo en los empleados, y es fundamental tener el apoyo de la Direccion de la empresa. No solo rescato lo positivo de la Jornada, sino tambien el sitio web de CXO, ofreciendoles nuestras opiniones y comentarios de los problemas o soluciones que dispongamos desde Mendoza. Muchas gracias.

Ricardo LUCERO
Seguridad Informatica
TARJETAS CUYANAS SA

 

 

-3 #1 30-06-2010 16:59

Estimados,
Sólo agradecer las interesantísimas presentaciones y aprovecho de plantear una duda o comentario, ¿porque se llamó SI en la Industria Financiera? Aparte de la mención PCI no ví en las otras presentaciones algo que la diferenciara de un seminario de seguridad general.
En otro punto, ¿es viable armar una conferencia o seminario sin proveedores o al menos que no expongan? Creo que los proveedores tienen algo importante que decir, pero es posterior a las experiencias que los usuarios finales pueden ofrecer.
Saludos cordiales!

 

Refrescar lista de comentarios
Suscripción de noticias RSS para comentarios de esta entrada.

No tiene permisos para añadir comentarios. Por favor, ingrese al portal o regístrese.

JComments